浏览器插件
1、介绍⚓︎
Spider 浏览器抓取插件是一款基于google chrome 浏览器开发的http流量抓取插件,安装后可以在正常浏览网页时自动抓取http/https请求流量发送给漏洞扫描器,用于进行漏洞检测
2、插件安装⚓︎
插件下载:项目管理->项目列表->新增->目标设置->目标来源选择浏览器插件->下载
插件安装
- 将下载的压缩包解压,
- 打开chrome浏览器,地址栏输入: chrome://extensions/ 或者 打开开发者模式开关(右上角) ,点击“更多工具->扩展程序“
- 加载已解压的扩展程序”, 加载刚才解压的目录
- 出现如下图所示,证明插件已安装好。
3、插件使用⚓︎
启动任务
- 项目配置中目标来源为 浏览器插件 ,在启动项目后,右上角会出现对应任务ID信息。拷贝任务ID
- 或者点击项目详情,查看/复制任务ID
填写参数
当安装完毕后,浏览器地址栏右侧会出现一个蜘蛛的图标
,点击后,看到如下图所示画面
| 名称 | 描述 | 示例 |
|---|---|---|
| 管理地址 | 管理平台url;若配置了域名请输入域名地址;若为docker部署请输入宿主机IP | http://ns-admin.com |
| 任务ID | 启动任务后的任务ID;查看上一步 | 63edcb6d69b35a9bdab73594 |
| 抓取域名 | 每行一个;仅支持 域名及*.域名 格式 | *.ly.com |
| 白名单路径 | 不记录的路径;格式:域名+路径;支持正则;每行一个 | www.ly.com/user/logout |
- 保存配置后会缓存在浏览器中。
抓取流量
先保存配置 ,然后将“抓取流量”自动打开,就可以抓取流量了。而后访问你要抓取流量的网站,插件就会自动进行流量监控抓取。
期间可点击”查看流量“按钮,进行流量查看。
完成抓取
- 完成抓取会完全停止此次抓取,本次任务将无法再次开启流量抓取。
查看流量
- 流量格式为:
请求方法§请求url§Content-Type请求头§请求body§
查看扫描结果
在管理平台项目详情中查看漏洞扫描结果